# AN0353 — Analytic 0353 ## Descrição Detecta modificação direta de `/etc/ssh/keys-<usuário>/authorized_keys` ou habilitação de autenticação por chave pública no `sshd_config` do ESXi. A telemetria inclui monitoramento de integridade de arquivos nos diretórios SSH do ESXi, logs de shell e auditoria de modificações de configuração do daemon SSH. Essa analítica é relevante para ambientes VMware porque o acesso SSH com chave não autorizada a hosts ESXi concede controle total sobre a infraestrutura de virtualização, uma técnica usada por grupos de ransomware e espionagem que visam ambientes VMware. **Plataformas:** ESXi ## Técnicas Relacionadas - [[t1098-account-manipulation|T1098 — Account Manipulation]] - [[t1021-remote-services|T1021 — Remote Services]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1543-create-or-modify-system-process|T1543 — Create or Modify System Process]] --- *Fonte: [MITRE ATT&CK — AN0353](https://attack.mitre.org/detectionstrategies/DET0126#AN0353)*